Karena serangkaian keputusan desain jaringan yang buruk (kebanyakan) dibuat bertahun- tahun yang lalu untuk menghemat beberapa dolar di sana-sini, saya memiliki jaringan yang jelas-jelas dirancang secara optimal. Saya mencari saran untuk memperbaiki situasi yang kurang menyenangkan ini.
Kami nirlaba dengan departemen IT berbasis Linux dan anggaran terbatas. (Catatan: Tidak ada peralatan Windows yang kami jalankan yang melakukan apa pun yang berbicara ke Internet dan kami juga tidak memiliki admin Windows di staf.)
Poin-poin penting:
- Kami memiliki kantor utama dan sekitar 12 situs terpencil yang pada dasarnya menggandakan NAT subnet mereka dengan sakelar yang terpisah secara fisik. (Tidak ada VLAN dan kemampuan terbatas untuk melakukannya dengan sakelar saat ini)
- Lokasi-lokasi ini memiliki subnet "DMZ" yang NAT'd pada subnet 10.0.0 / 24 yang ditetapkan secara identik di setiap situs. Subnet ini tidak dapat berbicara dengan DMZ di lokasi lain karena kami tidak merutekannya di mana pun kecuali antara server dan "firewall" yang berdekatan.
- Beberapa lokasi ini memiliki beberapa koneksi ISP (T1, Cable, dan / atau DSL) yang kami rutekan secara manual menggunakan IP Tools di Linux. Semua firewall ini berjalan pada jaringan (10.0.0 / 24) dan sebagian besar firewall kelas "pro-sumer" (Linksys, Netgear, dll.) Atau modem DSL yang disediakan ISP.
- Menghubungkan firewall ini (melalui sakelar sederhana yang tidak dikelola) adalah satu atau lebih server yang harus dapat diakses secara publik.
- Terhubung ke subnet 10.0.0 / 24 kantor utama adalah server untuk email, tele-commuter VPN, server VPN kantor jarak jauh, router utama ke subnet 192.168 / 24 internal. Ini harus berupa akses dari koneksi ISP tertentu berdasarkan jenis lalu lintas dan sumber koneksi.
- Semua perutean kami dilakukan secara manual atau dengan pernyataan rute OpenVPN
- Lalu lintas antar-kantor melewati layanan OpenVPN di server 'Router' utama yang melibatkan NAT'ing sendiri.
- Situs jarak jauh hanya memiliki satu server yang diinstal di setiap situs dan tidak dapat membeli beberapa server karena keterbatasan anggaran. Server ini adalah semua server LTSP beberapa terminal 5-20.
- Subnet 192.168.2 / 24 dan 192.168.3 / 24 sebagian besar tetapi TIDAK sepenuhnya pada switch Cisco 2960 yang dapat melakukan VLAN. Sisanya adalah switch DLink DGS-1248 yang saya tidak yakin saya percaya cukup baik untuk digunakan dengan VLAN. Ada juga beberapa kekhawatiran internal yang tersisa tentang VLAN karena hanya staf jaringan senior yang memahami cara kerjanya.
Semua lalu lintas internet biasa melewati server router CentOS 5 yang pada gilirannya mengubah NAT subnet 192.168 / 24 menjadi subnet 10.0.0.0/24 sesuai dengan aturan perutean yang dikonfigurasi secara manual yang kami gunakan untuk mengarahkan lalu lintas keluar ke koneksi internet yang tepat berdasarkan pada Pernyataan perutean '-host'.
Saya ingin menyederhanakan ini dan menyiapkan Semua Hal untuk virtualisasi ESXi, termasuk layanan yang dihadapi publik ini. Apakah ada solusi tanpa atau murah yang akan menyingkirkan Double-NAT dan mengembalikan sedikit kewarasan ke kekacauan ini sehingga pengganti saya di masa depan tidak memburu saya?
Diagram Dasar untuk kantor utama:
Ini adalah tujuan saya:
- Server yang menghadap publik dengan antarmuka pada jaringan 10.0.0 / 24 tengah yang akan dipindahkan ke subnet 192.168.2 / 24 pada server ESXi.
- Singkirkan NAT ganda dan dapatkan seluruh jaringan kami di satu subnet tunggal. Pemahaman saya adalah bahwa ini adalah sesuatu yang perlu kita lakukan di bawah IPv6, tapi saya pikir kekacauan ini menghalangi.
/24
? Atau apakah mereka memiliki jaringan yang benar-benar terpisah untuk klien LTSP mereka, dan server terhubung ke kedua jaringan?